Spring Security学习之OAuth介绍

最新推荐文章于 2024-06-06 22:02:52 发布
最新推荐文章于 2024-06-06 22:02:52 发布
阅读量730 收藏 1
点赞数
分类专栏: 后端开发 Spring Security学习 Java学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38586378/article/details/108521332
版权

OAuth概念

OAuth:解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据及基本信息的难题

    Open Authorization 开放授权,是一种资源提供商用于授权第三方应用代表资源所有者获得有限访问权限的授权机制。由于整个授权过程中,第三方应用无需触及用户的密码即可取得部分资源的使用权限,所有OAuth是安全开放的。

    例如登录CSDN的时候支持QQ、新浪微博、百度、开源中国和GitHub:

  1. 在选择QQ作为第三方登录的时候,会跳转到QQ站点(避免在CSDN中直接提交QQ密码)进行用户名和密码/二维码扫描登录验证

  2. 验证成功后进行授权管理,权限主要包括:自定义选择后CSDN网站之鞥能获取这一部分权限,其他隐私数据则是完全不可见

    1. 获取您的头像、昵称、性别

    2. 获取移动支付相关信息

  3. 确认授权后,跳回CSDN页面,此时用户已是登录状态

 

OAuth的运行流程

  1. 四个重要角色:

    1. Resource Owner:资源所有者,通常指用户。例如每个QQ用户

    2. Resource Server:资源服务器,指存放用户受保护资源的服务器,童涵春那个需要通过Access Token(访问令牌)才能进行访问。例如存储QQ用户基本信息的服务器,充当的就是资源服务器的角色

    3. Client:客户端,指需要获取用户资源的第三方应用。例如CSDN

    4. Authorization Server:授权服务器,用于验证资源所有者,并在验证成功后向客户端发放相关访问令牌。例如QQ授权登录页面

  2. 角色间交互:

    1. 客户端要求用户提供授权许可

    2. 用户同意向客户端提供授权许可(最关键的一步,OAuth提供四种授权模式,用于将用户的授权许可提供给客户端)

      1. Authorization Code授权码模式

      2. Implicit隐式授权模式

      3. Password Credentials密码授权模式

      4. Client Authorization客户端授权模式

    3. 客户端携带用户提供的授权许可向授权服务器申请资源服务器的访问令牌

    4. 授权服务器验证客户端及其携带的授权许可,确认有效后发放访问令牌

    5. 客户端使用访问令牌向资源服务器申请资源

    6. 资源服务器验证访问令牌,确认无误后向客户端提供资源

授权码模式

功能最完整、流程最严密的授权模式,将用户引导到授权服务器进行身份验证,授权服务器将发放的访问令牌传递给客户端。例如CSDN中的QQ登录方式就是由CSDN网站引导到QQ授权服务器进行身份验证的。

// 一个典型的QQ登录页面URL
https://graph.qq.com/oauth2.0/show?which=Login&display=pc& client_id=1002
最低0.47元/天 解锁文章
敲代码的ciery
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring securityoauth2.0介绍
u014416842的博客
05-05 1950
OAuth2.0介绍 OAuth 2.0是用于授权的行业标准协议,允许用户让第三方应用访问该用户在某一网站受保护的资源(比如user API),而无需将用户名和密码提供给第三方应用。OAuth 2.0专注于简化客户端开发,同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流程。 角色划分 resource owner:资源所有者,能够授予第三方应用访问特定保护资源的权限。 当资源所有者是个人时,它是被称为最终用户。 resource server: 资源服务器,受保护的资源一般通过..
SpringSecurityOauth2介绍
热门推荐
-
04-11 1万+
Oauth2认证的简单介绍 简介 第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。 OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。 业界提供了OAUTH的多种实现如PHP、JavaScript、J...
7. Spring Security 5.1之OAuth 2.0 Client
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
Spring-Security(二)OAuth2认证详解(持续更新)
最新发布
lbmydream的博客
06-06 1409
深入了解Spring Oauth2.0 认证流程及自定义扩展
Spring Security——OAuth2.0
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
8. Spring Security 5.1之 OAuth 2.0 Login
极客星云-CSDN博客
04-14 6867
OAuth 2.0 Login实现了用例:“使用Google登录”或“使用GitHub登录”。
Spring Security oauth2 介绍
weixin_38297879的博客
07-01 1882
介绍:什么是oAuthoauth是一个协议,是为用户资源的授权提供一个安全的,开放而又简易的标准,与以往的授权方式不同之处是,oauth的授权不会使第三方接触到到第三方的账号信息,即第三方无需使用用户的用户名与密码就可以申请获得该用户的资源的授权,因此oauth 是安全的。 什么是SecuritySpring Security 是一个安全框架,能够为Spring企业应用系统提供声明式的安全...
Spring Security + OAuth2.0项目搭建
Charge8的博客
02-21 5774
Spring Security + OAuth2.0项目搭建
Spring Security + OAuth2】Spring Security快速入门
weixin_43676950的博客
03-28 763
Spring Security 之所以默认帮助我们做了那么多事情,它的底层原理是传统的Servlet过滤器。DelegatingFilterProxy作为过滤器的代理,帮助我们调用spring容器中所有注册的过滤器FilterChainProxy帮助我们管理多个不同的过滤器链(SecurityFilterChain)。SecurityFilterChain帮助我们处理复杂的业务逻辑,通过匹配不同的url,由不同的过滤器链的组合来接收,从而由不同的过滤器来完成相应的功能。
springsecurity oauth2.0
warrah 南极狼
02-08 3698
参考了Springboot2+SpringSecurity+Oauth2+Mysql数据库实现持久化客户端数据 1 基本环境搭建 1.1 数据库脚本 数据库脚本从官方spring-security-oauth中获取,根据你需要创建对应的表.我这里用到了下面几张表。 1.2 ouath2.0相关jar 引入对应的jar,与securityoauth2.0相关的 <!--security oauth2.0配置--> <dependency>
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 7834
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
通过GET/POST方式获取第三方接口的数据
qq_38586378的博客
03-25 1万+
前言 遇到一个项目,需要通过API去获取数据,API接口的调用方式支持GET和POST。一开始不同这个API具体是个啥,是需要我们自己设计还是说用户给定,后续搜索明确是用户自定义提供API接口,开发人员只需要获取到API的url及调用这个API所需要的必要参数,然后分别以GET/POST方式连接API,通过API获取数据返回即可。这块对我来讲是个新知识点和新的处理方式,所以进行简单记录。 参考...
Spring Security集成Oauth2实现用户身份验证+授权
qq_38586378的博客
06-05 5570
前言 最近的项目有使用到Sping SecurityOauth做用户身份验证和授权机制,所以在网上找了点资料简单学习并写了个小demo,在此进行记录总结。 参考链接 1. Spring Security了解:https://www.springcloud.cc/spring-security-zhcn.html 2. Spring Boot集成Spring Security: https://www.jianshu.com/p/afe6619d9663 https://www.cnblogs.
SpringBoot集成Swagger实现JWT验证token
qq_38586378的博客
06-04 4082
前言 最近有个项目涉及用户权限管理,然后之前也有看到的一个小技术JWT,简单学习了解以后结合SpringBoot Swagger实现了一个简单的demo,这个demo主要是实现用户通过用户名和密码登录系统,登录成功以后系统给一个token,之后的用户操作需要验证token,只有token符合要求才能进行其他系统资源访问操作,否则提示权限不够或者token过期有误等提示信息,现将实现过程进行简单记录。 参考链接 1. Swagger了解:https://www.jianshu.com/p/349e130
基于Spring AOP的日志功能实现
qq_38586378的博客
08-11 3494
前言 前一段时间学习Spring,明确Spring的两大特征:IoC控制反转和AOP面向切面编程。后续遇到了系统日志功能,实现的时候使用到了AOP,在此进行总结。 IoC:主要是将程序中的对象通过创建bean对象的方式将其加入到Spring容器中,通过依赖注入的方式调用容器中的bean对象,从而降低程序间的依赖性(传统是通过new 方式获取类对象) AOP:面向切面编程,抽取出程序中重复度较高的代码,然后项目中哪里需要使用,就通过反向代理的方式调用这部分重复度高的代码,实现原功能的代码增强。 参考
定时检查数据是否过期,如过期则更新字段
qq_38586378的博客
06-22 2810
前言 项目中遇到一个检查数据库数据是否过期,并且如果过期的话需要更新字段的功能,当时想到的是数据库的存储过程+定时实现,后续想着很多方法如果能在后端代码实现的话就不用在数据库添加太多功能,所以尝试搜了一下springboot这块是否有这个功能,发现还真有,通过定时任务实现该功能,定时检查是否过期,如果过期更新字段;如果没有过期的则不作任何操作。在此进行简单记录。 参考链接 1. mysql event实现:https://blog.csdn.net/qq_40425961/article/detail
自定义密码规则功能实现
qq_38586378的博客
07-03 2111
前言 最近遇到一个功能需要用户可以自定义系统的密码规则,传统中对于密码规则这块一般都是后端给定常用的密码正则表达式,然后当用户注册的时候填写密码,系统获取密码后会匹配这个给定的正则表达式,如果不匹配会提示用户密码不符合规范。 现在如果是可以自定义密码规则,首先不太可能由用户直接写正则表达式,难度较大且正则表达式的正确性无法得到保证。通过分析一般密码的正则表达式发现基本都是数字、大小写字母、特殊字符以及规定密码的长度,所以如果自定义规则的话不妨让用户可以自定义密码中数字、大小写这些字段的长度,然后系统读取
简易版电商系统实现记录
qq_38586378的博客
07-25 2092
前言 最近手上没啥活了,就干脆把之前一直想练的一个项目拿出来做做,挺有意思的一点就是平时都是自己在别人搭好的项目结构上直接写业务逻辑,当自己从0开始写项目的时候还是遇到了一些问题,也算是更宏观的学习如何做出一个项目。 这个项目的角色有用户和管理员,主要涉及到的业务逻辑有用户管理、商品管理、购物车管理、订单管理和支付管理。实际应用中的电商项目肯定很复杂,除了基本的业务逻辑外,如果数据访问量比较大的话还会加redis缓存机制,如果需要离线计算还会加Hadoop框架...这个练手的项目本身是使用SSM框架做的
组织树结构后端实现
qq_38586378的博客
06-04 1751
前言 最近遇到一个显示树结构的问题,需要将结果以树的形式进行展示,想着这个东西其实很普遍很常见,所以在网上找了两个方法+自己想的一个笨办法,现此进行简单思路说明总结。 参考链接 https://blog.csdn.net/ldllovegyh/article/details/102692948 https://blog.csdn.net/weixin_39819191/article/details/84180652?utm_medium=distribute.pc_relevant.none-ta
spring security oauth2专栏介绍
05-31
Spring Security OAuth2 是 Spring Security 的子项目之一,它添加了 OAuth2 认证协议的支持,使得在 Spring 应用程序中实现 OAuth2 认证变得更加容易。 Spring Security OAuth2 为开发人员提供了一组基本 API 和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值